«In Abraxas-Software Schwachstellen zu finden, ist schwierig»

Simon Reinhart, 38, ist professioneller Bug-Jäger und steuert im Bug-Bounty-Programm von Abraxas wertvolle Findings bei. Der Zürcher Sicherheitsexperte über seine Arbeit, über Abraxas und die Aussichtslosigkeit, jemals eine hundert Prozent sichere Software zu erreichen.

Von Bruno Habegger · 5. Dezember 2025

Simon Reinhart betätigt sich mittlerweile hauptberuflich als Bug-Bounty-Hunter. (Bild: zvg)

Abraxas Magazin: Was unterscheidet dich von einem Hacker?

Simon Reinhart: (schmunzelt) Mein Hut. Ich habe nur gute Absichten und lebe von meiner Tätigkeit als Cyber Security Engineer. Ich bin spezialisiert auf Bug-Bounty-Programme. Oft wird dafür auch der Begriff «Ethical Hacker» verwendet. Das suggeriert etwas Illegales, was natürlich falsch ist. Darum kann man mich gerne auch als «Security Researcher» bezeichnen.

Was unterscheidet dich punkto Skills von einem Black-Hat-Hacker?

Ich denke, das kann man nicht pauschal beantworten. Die Hauptdisziplin dessen, was ich mache, ist Web Application Security – also das Ermitteln und Ausnutzen von Schwachstellen in Webapplikationen. Bei Cyberkriminellen umfassen die Tätigkeiten jedoch viele weitere Disziplinen wie Betrugsversuche aller Art, Social Engineering, Phishing oder Supply-Chain-Angriffe.

Wie bist du auf das Abraxas Bug-Bounty-Programm gestossen?

Ich habe mich bei Bug Bounty Switzerland angemeldet, nachdem ich gelesen hatte, dass der Bund über diese Plattform ein Bug-Bounty-Programm lanciert. Zu Beginn wurde ich jedoch für ein Programm von Abraxas eingeladen, bei dem ich schnell Erfolge verbuchen konnte. Genau genommen war es also ein Abraxas-Programm, das mir «den Ärmel reingezogen» hat in die Bug-Bounty-Welt.

Wie anspruchsvoll ist das Programm von Abraxas?

Die Applikationen von Abraxas, die ich bisher über das Bug-Bounty-Programm untersucht habe, weisen nach meiner Einschätzung eine sehr hohe Maturität auf. Das bedeutet, es ist eher schwierig, Schwachstellen zu finden, die einen direkten Risiko-Impact haben. Zudem sollte man den Fokus nicht nur auf Standard-Schwachstellen legen, sondern auch auf Prozessabläufe und konfigurative Gegebenheiten.

Das bedeutet, die Suche nach Schwachstellen lohnt sich nicht?

Doch. Nach meiner Erfahrung ist das Triage-Team von Abraxas sehr offen gegenüber sämtlichen sicherheitsrelevanten Meldungen. Das heisst, es kann vorkommen, dass man auch für Reports entlöhnt wird, die nicht direkt eine ausnutzbare Schwachstelle aufzeigen, sondern beispielsweise eine Konfiguration betreffen, die optimiert werden könnte, oder eine Angelegenheit, die zu einem inkonsistenten Zustand der Daten führen kann.

Über den Gesprächspartner

Simon Reinhart, 38, ist seit 2024 hauptberuflich professioneller Bug-Bounty-Hunter. Der Familienvater sucht im Auftrag von Unternehmen wie Abraxas nach Schwachstellen in neuen Systemen. Er lebt grösstenteils von den ausgerichteten Prämien («Bounty»). Nach seinem Informatikstudium arbeitete er zuerst als Pen-Tester und ist heute mit seiner Firma Cyber Security Reinhart als Sicherheitsexperte tätig.

Wie gehst du normalerweise vor?

Zuerst lerne ich die Angriffsfläche gut kennen und teste sie gezielt. Schwachstellen erkenne ich meist durch spezifische Payloads – manipulierte Datenpakete, die bestimmte Systemreaktionen auslösen. Abschliessend erstelle ich ein Proof of Concept – den Beweis, dass die Schwachstelle existiert.

Das braucht vor allem Ausdauer!

Ja, denn viele Programme wurden schon zigfach getestet. Man muss dranbleiben. Aber es macht mir Spass, etwas auszuhebeln, an das niemand gedacht hat. Ich liebe das Tüfteln.

Wie erfolgreich warst du bisher im Programm von Abraxas?

Ich konnte schon einige Reports übermitteln, schätzungsweise mehr als ein Dutzend. Die meisten davon wurden akzeptiert und entlöhnt. Bei den Abraxas-Programmen wird jeweils immer das maximale Bounty innerhalb des erreichten Ranges bezahlt. Der Erfolg ist für mich absolut zufriedenstellend, gemessen am Verhältnis zwischen Zeitaufwand und Bounties.

Findings und Bewertungen der Schwachstellen werden von den Security Champions von Abraxas geprüft – wie zufrieden bist du mit dem Team?

Die Triage von Abraxas ist höchst professionell. Man merkt, dass die verantwortlichen Personen vertieftes technisches Wissen in den Security-Bereichen haben. Zudem wird immer nachvollziehbar und ausführlich kommuniziert – sowohl bei akzeptierten als auch bei zurückgewiesenen Reports. Das schätze ich sehr, denn dadurch ist die Entscheidung jeweils komplett nachvollziehbar. Es gibt vermutlich nichts Frustrierenderes für einen Bug-Bounty-Hunter, als wenn ein Finding zurückgewiesen wird, ohne nachvollziehbare Argumentation.

Zwei ähnliche Vorgehen

Pentesting

Penetration Testing bezeichnet einen gezielten Angriff auf ein IT-System, um Sicherheitslücken zu finden und zu dokumentieren. Findet typischerweise bei Abraxas vor einem Bug-Bounty-Programm statt.

Bug-Bounty-Programme

Dabei handelt es sich um speziell für das Programm aufgesetzte Systeme, über die die Security Researcher kaum etwas wissen. An öffentlichen Programmen kann jeder teilnehmen. Erfahrene Security Researcher werden zu privaten Programmen eingeladen.

Ist denn die Software sicher, wenn Security Researcher wie du sie ausgetestet haben?

Natürlich, zu 100 % – nach mir bleibt nichts zurück! (lacht) Nein, Spass beiseite – eine Garantie, dass eine Software sicher ist, kann dir niemand zu 100 % geben. Pentests und Bug-Bounty-Programme mit qualifizierten Analysten sind aber ein gutes Mittel, um dieser Ungewissheit etwas entgegenzuwirken. Je nach Anzahl der Befunde kann man dadurch auch eine Annahme über den Sicherheitsstand einer Applikation treffen sowie mit hoher Wahrscheinlichkeit offensichtliche Security-Bugs eliminieren.

Simon Reinhart über …

… das Risiko für Private

«Auch Privatpersonen können Ziel eines Hackerangriffs sein. Das würde sich oft vermeiden lassen – mit gesundem Menschenverstand und ein paar Regeln.»

… seine Motivation für Bug-Bounty-Programme

«Das internationale Hacker-Ranking im Bug-Bounty-Umfeld ist nicht meine Hauptmotivation. Viel wichtiger ist, dass ich von den Prämien gut leben kann. Man lernt ausserdem enorm viel durch Diskussionen mit anderen Ethical Hackern. Das Netzwerken hilft mir, auf dem neuesten Stand zu bleiben und neue Angriffsmethoden zu verstehen.»

… die Bedeutung von Cybersecurity

«Cybersecurity wird immer wichtiger und immer mehr gebraucht. Einerseits steigt die Awareness auch bei KMUs und erhöht den Bedarf für Analysen, andererseits werden regulatorische Vorgaben verschärft. Deshalb müssen zum Beispiel Banken oder Versicherungen in spezifischen Intervallen ihre Systeme testen lassen. Bug-Bounty-Programme sind eines der besten Mittel dafür, um diese Vorgaben zu erfüllen.»

Was macht eine Software eigentlich «sicher»?

Es ist nicht ganz einfach, dies in einem kurzen Statement zu beantworten. Neben einer robusten Authentifizierung und Autorisierung stehen eine konsequente Eingabevalidierung sowie ein durchdachtes Sicherheitsdesign («Security by Design») ganz oben auf der Liste. Dazu gehören auch sichere Sessions und Token, Verschlüsselung, regelmässige Updates, Logging/Monitoring und der Einsatz etablierter Sicherheitsmechanismen. Die Liste könnte jedoch noch sehr lange weitergeführt werden.

Bruno Habegger

Über Bruno Habegger

Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.

Lesen Sie auch

0 / 0